En bref

  • Microsoft et la CISA confirment l'exploitation active de CVE-2026-32202, un correctif incomplet du précédent zéro-day APT28.
  • Toutes les versions de Windows 10, 11 et Server sont concernées : il suffit qu'un utilisateur ouvre un dossier contenant un fichier .lnk piégé pour qu'un hash NTLMv2 parte vers l'attaquant.
  • Échéance fédérale BOD 22-01 : 12 mai 2026 pour appliquer le correctif Microsoft du 14 avril ou bloquer le SMB sortant en bordure.

Les faits

Le 28 avril 2026, Microsoft a confirmé l'exploitation active dans la nature de la vulnérabilité CVE-2026-32202, et la CISA l'a immédiatement ajoutée à son catalogue Known Exploited Vulnerabilities. La faille touche le composant Windows Shell, plus précisément le sous-système qui prend en charge le rendu des fichiers de raccourci .lnk. Microsoft avait pourtant publié un correctif lors du Patch Tuesday du 14 avril 2026 sans le marquer comme exploité, privant les équipes de sécurité d'un signal d'urgence formel pendant deux semaines complètes.

Le scénario d'attaque est documenté par les chercheurs d'Akamai. CVE-2026-32202 est en réalité un correctif incomplet d'une chaîne d'exploits utilisée depuis fin 2025 par le groupe APT28, alias Fancy Bear, attribué au renseignement militaire russe (GRU unité 26165). Les vulnérabilités originelles, CVE-2026-21510 et CVE-2026-21513, permettaient d'exécuter du code à distance via un fichier .lnk piégé qui contournait à la fois Mark-of-the-Web et SmartScreen. Microsoft a colmaté l'exécution de code et le contournement SmartScreen, mais a laissé subsister la coercition d'authentification.

Concrètement, lorsqu'un utilisateur télécharge un fichier .lnk malveillant et ouvre simplement le dossier qui le contient, l'Explorateur Windows tente de récupérer l'icône du raccourci. Cette opération déclenche une connexion SMB vers un serveur contrôlé par l'attaquant, et Windows envoie automatiquement un hash NTLMv2 de l'utilisateur courant pour s'authentifier. L'attaque est dite zéro-clic au sens où la victime n'a jamais besoin d'ouvrir le fichier piégé : le simple affichage du dossier suffit.

Le score CVSS officiel de 4.3 attribué par Microsoft sous-estime massivement le risque opérationnel. Les hashes NTLMv2 capturés peuvent être relayés en temps réel via NTLM Relay vers des services internes (LDAP, ADCS, MSSQL, SMB) pour escalader vers Active Directory, ou cassés hors-ligne par bruteforce sur des fermes GPU. Le chercheur Tomer Peled d'Akamai indique que les opérateurs APT28 utilisent activement cette technique contre des cibles ukrainiennes, polonaises et baltes depuis mi-avril, avec pivot rapide vers des contrôleurs de domaine.

La CISA a fixé l'échéance fédérale au 12 mai 2026 dans le cadre de la directive BOD 22-01. Les agences fédérales américaines doivent soit appliquer le correctif d'avril, soit retirer les systèmes vulnérables du réseau. Le CERT-FR n'a pas encore publié d'avis dédié au 1er mai mais l'ANSSI a relayé l'alerte CISA via son canal CERT-FR.MIL le 30 avril.

Cette affaire prolonge une série noire pour Microsoft sur le terrain des correctifs incomplets. En février 2026, un correctif de SmartScreen avait déjà été contourné en 48 heures par le groupe Water Hydra. En mars, le patch CVE-2026-22887 a dû être ré-émis trois fois. CVE-2026-32202 illustre une dérive structurelle : les correctifs Microsoft ferment souvent le vecteur d'exécution de code mais laissent intacts les vecteurs adjacents (information disclosure, coercition, side-channel), qui sont précisément ceux qu'un acteur étatique sait exploiter.

Impact et exposition

Toutes les éditions de Windows supportées sont vulnérables : Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (22H3, 23H2, 24H2, 25H2, 26H1) et toutes les versions de Windows Server depuis 2012 jusqu'à Server 2025. L'exposition réelle dépend de deux facteurs : la possibilité pour un attaquant de déposer un fichier .lnk dans un répertoire que l'utilisateur consulte (partage SMB interne, dossier de téléchargements, pièce jointe extraite d'une archive), et la capacité du SMB sortant à atteindre Internet depuis le poste compromis.

Les environnements à plus haut risque sont ceux où les utilisateurs reçoivent fréquemment des archives ZIP ou des partages externes, et ceux dont la passerelle de sortie autorise le port 445/TCP ou 139/TCP vers Internet, ce qui reste hélas le cas dans de nombreuses PME et chez beaucoup de prestataires.

Recommandations

  • Appliquer immédiatement le correctif Microsoft du 14 avril 2026 (KB5036893 et équivalents Server) sur 100 % du parc Windows.
  • Bloquer en sortie les ports 445/TCP, 139/TCP et 137-138/UDP sur le pare-feu périmétrique. Aucun usage légitime ne justifie une connexion SMB sortante vers Internet.
  • Activer la stratégie de groupe « Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers les serveurs distants » sur Refuser tout, ou au minimum Auditer tout pour détecter les coercitions.
  • Mettre en place EDR signature Akamai/CISA pour la détection des fichiers .lnk avec UNC path externe et activer Windows Defender Attack Surface Reduction règle « Block credential stealing from the Windows local security authority subsystem (lsass.exe) ».
  • Auditer Active Directory : forcer LDAP signing, activer Extended Protection for Authentication (EPA) sur ADCS, désactiver les protocoles SMBv1 résiduels.

Alerte critique

Si votre infrastructure expose le SMB sortant et n'est pas patchée, considérez que vos hashes NTLM de comptes utilisateurs et de service ont déjà fuité. Lancez immédiatement une rotation des comptes à privilèges élevés (admins de domaine, comptes de service Tier 0) et une chasse aux artefacts NTLM Relay dans les logs Event 4624 type 3 et 4776.

Le correctif d'avril suffit-il ou faut-il attendre une nouvelle révision ?

Le correctif du 14 avril 2026 (CVE-2026-32202) ferme bien la coercition SMB déclenchée par le rendu d'icône .lnk. Microsoft n'a pas annoncé de révision supplémentaire au 1er mai. En revanche, ce patch ne couvre pas les autres vecteurs de coercition NTLM connus (PetitPotam, PrinterBug, DFSCoerce). Le bon réflexe est donc d'appliquer le KB d'avril ET de désactiver NTLM sortant, sinon vous traitez un symptôme parmi d'autres.

Comment détecter une exploitation passée sur mes postes ?

Trois indicateurs à corréler : connexions sortantes inhabituelles vers le port 445/TCP dans les logs firewall (toute IP publique destination), Event ID 4624 logon type 3 NTLM provenant d'utilisateurs internes vers des serveurs externes, présence de fichiers .lnk avec un champ TARGETPATH commençant par UNC vers une IP non-RFC1918 dans %TEMP%, %DOWNLOADS% et les partages utilisateur.

Votre infrastructure est-elle exposée à NTLM coercion ?

Ayi NEDJIMI réalise des audits Active Directory ciblés pour détecter les chaînes de relais NTLM exploitables et durcir vos contrôleurs de domaine avant qu'APT28 ou ses imitateurs ne s'y intéressent.

Demander un audit AD